Vorheriges Thema: Standardzertifikate für Linux und UNIXNächstes Thema: Ändern und Reparieren einer Installation

Post-InstallationstasksImportieren eigener X.509-Zertifikate in das Installations-ImageAnpassen von X.509-Zertifikaten mit der Datei "cfcert.ini"

Anpassen von X.509-Zertifikaten mit der Datei "cfcert.ini"

Die Datei "cfcert.ini" steuert die von CA ITCM installierten Zertifikate. Die Datei "cfcert.ini" enthält mehrere Abschnitte, die jeder Anwendungsgruppe in der Installation entsprechen. Im Folgenden wird die Standarddatei "cfcert.ini" dargestellt:

[CAF]
files=itrm_itrm_r11_root.der,basic_id.p12

[Configuration]
files=ccsm.p12

[Manager]
files=itrm_itrm_r11_cmdir_eng.p12

[Registration]
files=registration.p12

[USD.Agent]
files=itrm_itrm_r11_sd_catalog.p12

[USD.Manager]
files=itrm_dsm_r11_agent_mover.p12,itrm_dsm_r11_sd_catalog.p12




[Files]
itrm_dsm_r11_root.der=cacertutil import -i:itrm_dsm_r11_root.der -it:x509v3
basic_id.p12=cacertutil import -i:basic_id.p12 -ip:enc:uAa8VNL4DKZlUUtFk5INPnr2RCLGb4h0 -h -t:dsmcommon
ccsm.p12=cacertutil import -i:ccsm.p12 -t:csm -ip:enc:IWhun2x3ys7y1FM8Byk2LMs56Rr8KmXQ
itrm_dsm_r11_cmdir_eng.p12=cacertutil import -i:itrm_dsm_r11_cmdir_eng.p12 -ip:enc:gYuzGzNcIYzWjHA6w542pW68E8FobJhv -t:dsm_cmdir_eng
itrm_dsm_r11_sd_catalog.p12=cacertutil import -i:itrm_dsm_r11_sd_catalog.p12 -ip:enc:wdyZd4DXpx6j5otwKY0jSaOOVLLi0txQruDVOslGOlNIMZw96c85Cw -t:dsmsdcat
itrm_dsm_r11_agent_mover.p12=cacertutil import -i:itrm_dsm_r11_agent_mover.p12 -ip:enc:sytOQtZteLopAt1CX0jIJUJcpqBWrb7G7VegY7F7udogc1c5kLIylw -t:dsmagtmv
registration.p12=cacertutil import -i:registration.p12 -ip:enc:z5jLhmvfkaAF4DLMDp3TWuC7nG8yh3dfvmN668thfrU -t:dsm_csvr_reg
babld.p12=cacertutil import -i:babld.p12 -ip:enc:TrdWglmuNCdeOAfj2j3vMwywVbGnlIvX -t:babld_server
dsmpwchgent.p12=cacertutil import -i:dsmpwchgent.p12 -ip:enc:QWF8vknD5aZsU1j5RLzgt1NQgF5DcXj4v1vS4ewDzOA -t:ent_access
dsmpwchgdom.p12=cacertutil import -i:dsmpwchgdom.p12 -ip:enc:sqb9qO2SGjbYqzIvwM7HEbx0M6UJk8Dc82EvUoDeJmE -t:dom_access
dsmpwchgrep.p12=cacertutil import -i:dsmpwchgrep.p12 -ip:enc:x901eho57IZ19zg6g97rQetHjA1461na7nhBmJl7mcc -t:rep_access

[Tags]
dsmcommon=x509cert://DSM r11/CN=Generic Host Identity,O=Computer Associates,C=US
csm=x509cert://dsm r11/CN=Configuration and State Management,O=Computer Associates,C=US
dsm_cmdir_eng=x509cert://dsm r11/cn=dsm directory synchronisation,o=computer associates,c=us
dsmsdcat=x509cert://dsm r11/CN=DSM r11 Software Delivery Catalog,O=Computer Associates,C=US
dsmagtmv=x509cert://dsm r11/CN=DSM r11 Agent Mover,O=Computer Associates,C=US
dsm_csvr_reg=x509cert://dsm r11/CN=DSM Common Server Registration,O=Computer Associates,C=US
babld_server=x509cert://dsm r11/cn=babld server,o=computer associates,c=us
ent_access=x509cert://dsm r11/CN=Enterprise Access,O=Computer Associates,C=US
dom_access=x509cert://dsm r11/CN=Domain Access,O=Computer Associates,C=US
rep_access=x509cert://dsm r11/CN=Reporter Access,O=Computer Associates,C=US

Jeder Abschnitt der Datei "cfcert.ini" gibt die Zertifikate an, die vom zugeordneten Installationsprogramm installiert werden müssen. Das Installationsprogramm liest den Eintrag "files=" im zugeordneten Abschnitt der Datei "cfcert.ini" und installiert jedes aufgeführte Zertifikat über den Befehl, der im Abschnitt "[Files]" der Datei "cfcert.ini" angegeben ist.

Das Installationsprogramm des Common Application Frameworks (CAF) stellt beispielsweise fest, dass die Zertifikate "itrm_r11_dsm_root.der" und "basic_id.p12" installiert werden müssen. Im Abschnitt "[Files]" findet das CAF-Installationsprogramm in den ersten beiden Zeilen die Befehle "cacertutil", die diesen Zertifikaten zugeordnet sind, und führt diese Befehle aus.

Im Abschnitt "[Tags]" können Sie neue Zertifikate erstellen, die nicht die standardmäßigen Zertifikat-URIs verwenden. Beim Installieren eines DSM-Managerknotens lesen die Installationskomponenten diesen Abschnitt und richten Sicherheitsprofile für die benannten URIs ein. Die zuvor aufgeführten Tags und URIs sind Standardeinstellungen von CA ITCM und werden verwendet, wenn sie nicht in der Datei "cfcert.ini" vorhanden sind.

Gemäß Festlegung sind die Dateinamen, die im Eintrag "files=" jedes Abschnitts der Datei "cfcert.ini" angegeben sind, mit den Namen der zugrunde liegenden Zertifikatdatei identisch. Damit wird eine einfachere Wartung der Initialisierungsdatei "cfcert.ini" ermöglicht.

Um die Standardzertifikate gegen Ihre eigenen Zertifikate auszutauschen, ändern Sie jeden einzelnen Abschnitt und den Abschnitt "[Files]", um die neuen Zertifikatnamen und Kennwörter anzugeben.

Wichtig! Achten Sie darauf, die neuen Zertifikate mit den richtigen Tag-Namen zu importieren. Die Tags werden mit dem Schalter "-t:" angegeben. Weitere Informationen und eine Liste der verfügbaren Zertifikate finden Sie unter "Installieren anwendungsspezifischer Zertifikate" und "Aktuelle Zertifikate".